elastic detector vu par un ethical hacker

WEBINAR SECLUDIT

ELAST IC DETECTOR VU PAR UN ETH ICAL HACKER

JÉRÔME MOLLARET

HARDIS GROUP

CHIFFRES CLÉS

« NOUS NE LÂCHERONS

RIEN » EFFECTIFS CHIFFRE D’AFFAIRE RÉSULTAT D’EXPLOITATION

+28% +46% +88%

630 672 732853

2013 2014 2015 2016

57.2 61.268.8

83.3

2013 2014 2015 2016

6.12 6.44 6.09

7.9

2013 2014 2015 2016

En millions d’euros En % du CA

ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 319/10/2017

NOTRE POSITIONNEMENT

ENTREPRISE DE

SERVICES NUMÉRIQUESIT TRANSFORMATION & REFLEX

EDITEUR DE LOGICIELSReflex | ADELIA | CLOUD APP

Business

Consulting

Business & IT

Transformation

Business

Applications

Dev & Intégration

Cloud Apps &

Softwares

Cloud

Operations

Infrastructure &

Sécurité

Hybrid Clouds

Managed Services

Reflex

Logistics

Logistics Softwares & Solutions

Factories, Warehouses, InStore


NOS IMPLANTATIONS

19/10/2017 ELASTIC DETECTOR VU PAR UN ETHICAL HACKER 5

DES PARTENAIRES CAPABLES D’INTERVENIR PARTOUT DANS LE MONDE

FRANCE

ESPAGNE

SUISSE

QUI SUIS-JE


Consultant Cybersécurité au sein de la Direction Technique,

Certified Ethical Hacker,

Auditeur Forensic / Pentester,

Missions centrées sur la sécurisation des infrastructures,

Expertise technique sur les sujets de sécurité du groupe,

Veille active sur les menaces et vulnérabilités,

ELASTIC DETECTOR

LES RAISONS DU CHOIX

Acuité des scans,

Surveillance continue de milliers de machines,

Inventaire temps réel du parc via connecteurs VMware, AWS, Azure, etc...

Clonage possible pour effectuer des tests plus poussés,

Rapports simples, complets et compréhensibles par tous,

Indicateur KRI issu des normes ANSSI, OWASP et PCI DSS,

Réactivité et disponibilité des équipes SecludIT.


INTÉGRATION

INTÉGRATION D’ELASTIC DETECTOR

Chaque Datacenter possède plusieurs Appliances pour une meilleure répartion

de charges et afin de ne pas saturer les liens intersites.


DATACENTER BDATACENTER A


Chaque Appliance est dédiée à un périmètre pour garantir l’étanchéité des

infrastructures et des services.


PÉRIMÈTRE BPÉRIMÈTRE A


Chaque périmètre possède des comptes de services dédiés pour les

connecteurs et effectuer des scans afin de :

Contrôler leurs états d’activations,

Maitriser les privilèges alloués,

Tracer leurs activités,

Conserver l’isolation du périmètre,

Être en phase avec les recommandations de l’ANSSI.



La fréquence des scans d’une machine oscille entre 1 semaine et 1 mois en

fonction de :

Son positionnement sur le réseau (LAN, WAN, DMZ),

L’exposition de ses services aux utilisateurs,

Du type de données qu’elle héberge (conformité GDPR),

De son rôle dans le maintien en condition opérationnelle.



Le déploiement de chaque Appliance dans un périmètre, ainsi que son

exploitation, sont documentés en interne.


WANNACRY / NOTPETYA

WANNACRY


« Découvert mi-mai 2017 et créé par le groupe Lazarus

pour la Corée du Nord, le ransomware WannaCry a été

le 1er de sa famille à embarquer 2 exploits publics volés

à la NSA l’année dernière par le groupe Shadow Brokers

portant le code d’EternalBlue et EternalRomance pour se

propager sur les hôtes vulnérables à ces attaques via

des faiblesses dans le protocole SMB, utilisé entre autres

pour le partage de fichiers, d’imprimantes, etc... »

NOTPETYA


« Apparu fin Juin 2017, le malware NotPetya a clairement

été identifié comme une arme déguisée en ransomware

créé par le groupe russe Telebots, auteur désigné

rétrospectivement de BlackEnergy. Il repose sur une

partie du code source de Petya où la fonction KillDisk est

implémentée en lieu et place du chiffrage de la MFT et

du MBR, mais aussi les fonctionnalités de WannaCry pour

se propager. »

NOTPETYA


« Il embarque également une nouveauté avec la

possibilité de voler les crédentiels des comptes des

utilisateurs s’étant logués précédemment sur l’hôte

contaminé pour les rejouer sur un hôte distant vulnérable

ou non ! C’est surtout cette dernière fonctionnalité qui

est alarmante et critique lorsque le malware vole ceux

d’un compte avec de forts privilèges sur l’ensemble du

parc comme les administrateurs… »

CHRONOLOGIE

Détection fin Janvier 2017 des failles sur

SMB v1.0,

14 Mars 2017, sortie du bulletin MS17-01 et

des correctifs associés chez Microsoft,

14 Avril 2017, Shadow Brokers rend public

des exploits dont EternalBlue et

EternalRomance,

12 Mai 2017, début de la campagne

d’infections de WannaCry,

27 Juin 2017, début de la campagne

d’infections de NotPetya.


REMÉDIATION

Exemple d’un de nos périmètres critiques

composé entre autres de 23 serveurs

Microsoft monitoré par Elastic Detector,

Début des campagnes de remédiations

sur les serveurs 3e semaine de Mars,

Seul 5 serveurs subsistaient lors du

Shadow Brokers Leaks pour des raisons

d’arrêt de production et de validations

applicatives,

Ce périmètre fût protégé à temps contre

WannaCry et NotPetya.


PÉRIMÈTRE C

Shadow Brokers

Leaks

WannaCry NotPetya

RÉPONSE À INCIDENT

NotPetya nous a demandé davantage de vigilance de part sa faculté à infecter

des hôtes non vulnérables via le rejeu de crédentiels,

Elastic Detector nous a permit de cartographié les périmètres pouvant être

touchés par NotPetya et de nous focaliser uniquement sur ceux-ci,

Le suivi de l’épidémie via les réseaux d’entraide de la communauté InfoSec ce

27 Juin 2017, nous a permit de récupérer l’ensemble des adresses IP / noms de

domaine des serveurs délivrant NotPetya dès 18h30,

Ces adresses IP / noms de domaine furent bloqués dans la foulée sur l’ensemble

de notre infrastructure et celles de nos clients.
